ACTIVE DIRECTORY

Microsoft present la estructura lgica de Active Directory con Windows Server 2000 y
esto cambio sustancialmente el modo en cmo se organizan estructuralmente las redes
dentro de los servidores Windows. A partir de all Microsoft comenz a pensar las redes
en trminos de la organizacin jerrquica utilizada por Active Directory.

En Windows Server 2008, este servicio ahora se denomina Servicios de Dominio

SERVICIOS DE DIRECTORIO
Un servicio de directorio gestiona una base de datos organizada jerrquicamente y
Windows utiliza como servicio de directorio el servicio de dominio de Active Directory.
Este servicio nos permite administrar eficientemente los recursos de la red. Un servicio de
directorio almacena la informacin detallada y organizada de cada uno de los recursos de
la red, lo que facilita las tareas de autenticacin y bsqueda de los recursos.

Active Directory logra estos objetivos organizando su estructura fsica y su estructura

lgica en capas independientes.

Estructura Fsica de Active Directory

Desde el punto de vista fsico, Active Directory forma parte del subsistema de seguridad
de Windows Server 2008 que se est ejecutando en modo usuario. Las aplicaciones que se
ejecutan en modo usuario no tienen acceso directo al sistema operativo ni a los
dispositivos de hardware, sino que sus peticiones deben pasar previamente por la capa de
servicios ejecutivo (modo kernel)

Aplicacin
Win 32

Servicios
Active Subsistema de Ejecutivos
Directory seguridad

Mdulo servicio
de Directorio

Modo Usuario Modo Kernel

Las peticiones entrantes pasan al subsistema de seguridad desde donde se derivan los
componentes del servicio de directorio. Este servicio est capacitado para aceptar
peticiones de una gran variedad de clientes con diversos protocolos (LDAP, SMPT, RPC,
etc.)

Estructura Lgica de Active Directory:

La capa lgica de Active Directory determina la manera en que se visualizan los datos
almacenados en la base de datos de Active Directory e implementa el control de acceso a
los datos.

Active Directory suministra el espacio de nombres (namespace) para nuestros dominios y

catlogos de usuario, equipos, grupos, directivas de seguridad, dispositivos de red, etc.,
controlado a partir de una base de datos jerrquica que se mantiene en el controlador de
dominio y que adems se duplica(replicacin) en todos los controladores de dominio de la
red. Cada uno de los elementos controlados por el servicio se denomina objeto de Active
Directory.

Active Directory utiliza una estructura arbolada jerrquica para organizar los objetos de la
base de datos lo que simplifica las tareas de administracin. Esta estructura tambin
facilita la tarea de agregado de nuevos dominios al rbol de Active Directory.

Para comprender mejor la estructura lgica de Active Directory debemos revisar algunos
conceptos.

Objetos de Active Directory

Dominios, Arboles y Bosques de Active Directory
Confianza de Active Directory
Espacios de nombres y Particiones de Active Directory.

Objetos de Active Directory

Active Directory debe administrar una gran cantidad de recursos diversos, para ello
Microsoft decidi utiliza el modelo LDAP para la organizacin de datos. Active Directory es
una implementacin LDAP y este modelo trata a los recursos de la red como objetos.
Los objetos por sus partes pueden contener otros objetos y, en este caso, es un objeto
contenedor. Hay varias clases de objetos.

Usuarios
Grupos
Equipos
Impresoras
Unidades organizativas.

Dominios, rboles y bosques

Ya sabemos cules son los objetos de un directorio, ahora veremos cmo se organizan
dentro del sistema para que podamos utilizarlo eficientemente.
El directorio es una estructura jerrquica y los objetos del directorio se organizan de modo
que conforman un rbol de directorio. La estructura de la jerarqua es el resultado de la
definicin del esquema y se utiliza para definir las relaciones de dependencia padre-hijo
de los objetos almacenados en el directorio.
Un dominio es una agrupacin lgica de objetos de la red para implantar una
administracin centralizada en un servicio de directorio, dentro del rbol del directorio un
dominio es un objeto ms en el directorio aunque es un objeto contenedor de otros
objetos y, por esa razn, se le considera objeto padre de un grupo de objetos. Un objeto
de Active Directory puede contener una cantidad ilimitada de objetos(antes era limitado).
Este cambio ha provocado que normalmente podamos resolver toda nuestra red como un
nico dominio y con subdominios

Un conjunto de dominios agrupados lgicamente conforman un rbol de dominio, y, por

extensiones un conjunto de rboles de dominio agrupados lgicamente conforman un
bosque.

El primer dominio que se crea en un rbol es el dominio raz.

La estructura de Active Directory se puede considerar como un rbol que contiene una
coleccin de dominios. Todos estos dominios comparten un catlogo global, que es el
repositorio central de todos los objetos de un rbol de dominios. Con esto se puede
deducir que todos los dominios del rbol podrn tener acceso al mismo conjunto de
recursos, independientemente del dominio que contiene el recurso,
Cuando creamos un nuevo rbol, simultneamente creamos un dominio que ser la raz
del rbol. A este rbol le podemos aadir nuevos dominios, que sern hijos del primer
dominio, es decir, son subdominios.
Los subdominios en un rbol comparten el mismo espacio de nombres del dominio raz y
toman como parte de su nombre, el nombre del dominio raz.

En la figura siguiente, se muestra al dominio raz inforbooks.com que es el dominio padre

de dos subdominios: distr.inforbooks.com y edit.inforbooks.com. El subdomino
distr.inforbooks.com, tiene por su parte un dominio hijo, eu.distr.inforbooks.com.

Bosque con un rbol de dominio

inforbook.com

edit.inforbooks.com
distr.inforbooks.com

eu.distr.inforbooks.com
Tal como se menciono anteriormente, aunque un rbol permite crear un contenedor
administrativo de una gran cantidad de objetos existe un contenedor mayor que contiene
una coleccin de arboles: este contenedor se denomina bosque. Los rboles de un
bosque se gestionan de modo independiente y poseen sus propios espacios de nombres
pero, al compartir el mismo bosque, comparten el mismo Catalogo global. Esto implica
que los arboles del mismo bosque pueden localizar y acceder a los recursos de todo el
bosque del dominios.

En la siguiente figura se muestra un bosque con dos rboles de dominio: inforbooks.com

y avisa.com.

Cuando en Windows Server creamos nuestro primer dominio (dominio raz),

simultneamente estamos creando un nuevo rbol y un nuevo bosque

Bosque con dos rboles de dominio

Relacin de confianza

inforbook.com abisa.com

edit.inforbooks.com
distr.inforbooks.com

eu.distr.inforbooks.com
cursos.abisa.com

Un nico dominio puede dar servicio a una gran cantidad de usuarios y poner a
disposicin de esos usuarios los recursos del dominio. Por lo tanto, el uso de un nico
dominio es suficiente para las empresas pequeas y medianas. El uso de bosques se
precisara en empresas grandes.

Confianza de Active Directory

En Active Directory, en los dominios que son miembros del mismo bosque se establece
una relacin de confianza transitiva y esto implica que los recursos de cualquiera de los
dominios del bosque estn disponibles para todos los usuarios de los dominios del
bosque. Haciendo referencia a la figura anterior un usuario del dominio
distr.inforbooks.com podra acceder al recurso del dominio abisa.com o
cursos.abisa.com.
Y se dice podra, porque la posibilidad de que exista esa relacin de confianza no implica
que automticamente se otorguen permisos. Lo que implica es que pertenecen al mismo
bosque los administradores podran otorgar permisos que crucen dominios.

Los privilegios no se aplican por el hecho de existir una relacin de confianza. Esta, por si
sola, no cede ni deniega ninguna clase de permisos implcitos o automticos.

Para la administracin del bosque, Active Directory utiliza dos niveles de administradores:

Administrador de empresa: pueden administrar y conceder acceso a los recursos en todos

los dominios del bosque Active Directory.

Administradores del dominio: los administradores del dominio en un dominio de

confianza pueden acceder a las cuentas de usuario en el dominio confiado y asignar
permisos que conceden acceso a recursos en un dominio de confianza.

Utilizando la figura anterior como base de este ejemplo, con dos dominios en un bosque,
si un usuario del dominio distr.inforbooks.com, necesita acceder a una impresora que
reside en el dominio abisa.com, un administrador con privilegios de administrador de
empresa puede concederle el acceso al dispositivo. Obviamente el administrador del
dominio abisa.com, tambin podra concederle el acceso al dispositivo, pero esa
concesin no podra hacer el administrador de dominio distr.inforbooks.com ni tampoco
el administrador del dominio inforbooks.com.

En este ejemplo, el controlador del dominio distr.inforbooks.com le pasa la peticin al

controlador de dominio padre, inforbooks.com, siguiendo el camino de la flechas. La
peticin pasa del controlador de dominio inforbooks.com al controlador de dominio
abisa.com que es el que concede o asigna la peticin de acceso.

En todo este trayecto, la peticin del usuario pasa, por tres controladores de dominio, uno
por cada dominio que se atraviesa, independientemente de la ubicacin fsica del recurso
(en este caso, una impresora).

Con Active Directory tambin se pueden implementar confianzas externas que copian el
funcionamiento que utiliza el sistema Windows NT.4. Estas confianzas son siempre
unidireccionales y se configuran manualmente.

La confianza externa se mantiene para permitir crear una relacin de confianza entre un
dominio de Active Directory y un dominio heredado de Windows NT.4.